1 简介 最近,漏洞利用工具包,恶意软件,僵尸网络租用,教程和其他黑客产品的在线市场一直在发展,而这个市场曾经是一个难以渗透的专有市场,其购买者主要是西方政府[95] 现在,更广泛的人群更容易使用。 具体而言,暗网(可通过匿名协议(例如Tor和i2p)访问的Internet的一部分)已被各种专门针对此类产品的市场所占据[94,2]。 特别是在2015年,专门针对零日漏洞利用工具包的暗网市场出现了,这些工具包旨在利用以前未发现的漏洞。 这些漏洞利用工具包开发困难且耗时,而且通常以高价出售。
漏洞利用市场和黑客论坛的爆炸性增长为网络防御者提供了宝贵的机会。这些在线社区提供了有关潜在对手的新信息源,从而形成了新兴的网络威胁情报行业。侦察前的网络威胁情报是指在恶意行为者与被防御的计算机系统交互之前收集的信息。为了提供具体的例子来说明侦察前网络威胁情报的重要性,请考虑表1.1中所示的案例研究。2015年2月发现了一个Microsoft Windows漏洞。关于此漏洞的Microsoft公开新闻稿实质上是他们向客户发出安全漏洞警告的方式。 在发布时,还没有公开的方法可以利用此漏洞来进行网络攻击(即可利用的漏洞)。 但是,大约一个月后,发现在Darknet漏洞利用市场上出售了一个漏洞利用。直到7月,大型网络安全公司FireEye才发现旨在窃取信用卡信息的Dyre银行木马利用了此特定漏洞。 此插图说明了从暗网收集的威胁警告如何以预警威胁指示器的形式为安全专业人员提供有价值的信息。 在Dyre和类似的Dridex银行木马之间,每10个全球组织中就有近6个受到影响,这一统计数字令人震惊。
在另一个例子中,据称来自俄罗斯圣彼得堡的17岁的黑客谢尔盖·塔拉波夫(Sergey Taraspov)和一小群黑客一起编写了针对销售点(POS)软件的恶意软件,并以2,000美元的价格将其出售。 俄罗斯论坛暨市场。 反过来,在2013年“目标”数据泄露事件中,大约40个人使用了该恶意软件,窃取了超过1.1亿张美国信用卡号。
现在有可能并且非常普遍地利用数据挖掘和机器学习技术来从大量数据中理解。 在进一步激发了网络威胁情报的重要性并详细讨论了在线黑客社区之后,我们将专门讨论如何将数据挖掘和机器学习技术应用于网络威胁情报领域。 使用这些技术,我们将能够获得对在线黑客社区的结构以及其中个人行为的更多了解。 我们还将借鉴人工智能文献来构建威胁模型,并从黑客社区获取的数据中获取信息,以提供特定于系统的网络情报。
本书旨在全面了解新兴的网络威胁情报领域。本书的其余部分结构如下:第2章将进一步激励组织使用网络威胁情报,讨论并解决实现大规模网络威胁情报采用的一些困难。第3章将详细讨论在线黑客社区,从中可以衍生出许多网络威胁情报。第4章将介绍构建大规模抓取和解析基础结构以从暗网社区收集数据的技术,并讨论一些相关的挑战以及在收集网络威胁的情况下各种数据挖掘和机器学习技术的性能。情报。第5章介绍了许多案例研究,这些案例研究说明了如何将收集到的数据转换为可操作的,现实世界的网络威胁情报,并使用无监督的学习技术将暗网市场的产品归为特定类别。
接下来的两章(第6章和第7章)介绍了更复杂的模型,这些模型以有趣的方式使用了来自Darknet的聚合数据,以提供丰富的威胁情报。 第6章将主机防御方案作为安全游戏进行了阐述,提出了一种游戏理论框架,该框架将真实世界的暗网利用数据通知攻击者模型,并能够提出系统特定的策略建议。 第7章介绍的模型还利用了漏洞利用信息,但在防御工业控制系统(ICS)的情况下:控制物理系统(电力,水,工业机械等)的IT基础架构。
第8章总结了本书,讨论了正在进行的工作以及与网络威胁行为者的社会文化建模相关的独特挑战,以及它们为何需要在人工智能方面取得进一步进步,尤其是在与社会科学进行跨学科研究方面。
点赞 收藏 分享 文章举报 柠檬橘子百香果 发布了7 篇原创文章 ·
获赞 6 ·
访问量 8007 私信 关注
【笔记】Safely Measuring Tor 1. 简介 2 PrivCount隐私计数 2.1 角色和体系结构概述 2.2 协议规范 2.2.1 初始化 2.2.2 配置 2.2.3 执行 2.3 隐私保护噪声 3 方法 3.1使用PrivCount测量Tor 4 测量结果 4.1 出口策略分析 4.2 探索性测量 4.3 深度测量 1. 简介 Tor网络是数字隐私最流行的工具之一。各种不同的用户使用其洋葱路由协议来保护他们在互联网上产生的隐私信息。截至2016年5月,该网络包括7000个自愿运行的中继向用户目的地转发流量,网络共同转发近75Gbps的流量,并且估计每天有175万用户连接。
统计数据对于了解Tor目前的影响力以及如何改进服务至关重要。然而,由于其保护隐私,典型的网络监控方法不能直接应用于Tor。例如,简单地衡量用户数量是非常困难的,因为Tor旨在让用户保持匿名,并且也不应收集有关用户身份的信息。Tor目前收集了很少的测量数据,其中许多使用了未知精度的启发式技术。
在差分隐私保护和实用隐私保护聚合的基础上开发了PrivCount,一种高效,灵活的系统,用于在隐私保护下的Tor测量。PrivCount增加了可重复的测量阶段,以便进行迭代测量。它还提供了一个综合的方法来应用差分隐私多元化和多样化的Tor统计,同时保持了高精度。开发了一个实现PrivCount的开源工具,该工具强大,安全,特别适用于Tor的研究。
用PrivCount工具对Tor用户和流量进行测量研究,对PrivCount的研究部署涉及到4个不同国家的6个独立参与者,想要破坏系统的安全属性,需要让所有参与者都妥协。测量汇总在7个Tor中继上进行,这可以防止根据流量特征来识别来源。
收集了客户端和目的地的统计数据,目标是为将来的Tor业务模型做参考和网络改进。在出口流量方面的结果表明,Web端口的流量现在占Tor的数据字节的91%,高于2010年的42%。还使用完全不同于Tor自测量的的方法第一次提供了Tor用户数量的估计。数据表明,在任何给定的10分钟内,平均有71万用户连接到Tor,其中超过55万(77%)是活跃的。也看到了出口策略的效果,这些策略会被传递以限制将连接到哪些端口和IP,并且证据表明出口策略会显着影响出口中继的流量类型,这是以前的研究没有考虑的因素。
2 PrivCount隐私计数 为了安全地收集Tor网络的统计数据,设计和实现了一个名为PrivCount的隐私保护数据收集和聚合系统。
2.1 角色和体系结构概述 PrivCount是一个分布式计数系统,依靠多个节点和实体来实现隐私和安全。PrivCount部署包含Tally服务器(TS)节点,一个或多个数据收集器(DC)节点以及一个或多个共享管理器(SK)节点。
Tally服务器。TS是系统的中心点。TS在认可DC和SK节点之前先验证它们,跟踪它们的可用性和状态,并同步系统操作。为了最小化PrivCount部署的攻击面,TS充当其他节点之间所有通信的中央代理。TS服务器端口是唯一需要在整个PrivCount系统中打开并可通过Internet访问的端口;DC和SK仅与TS建立连接。DC和SK之间的所有通信都被加密和认证,因为TS仍然不可信。
数据收集器 DC是处理测量的主要节点。DC负责从本地运行的Tor进程收集事件,计算事件的统计数据,并维护一段时间内每个统计数据的计数。每个计数器用随机噪声加共享数进行初始化。噪声用于提供最终汇总值的差分隐私。共享数用于“致盲(blind)”计数器;共享数被每个SK加密一次,然后在DC被擦除之前,每个数都被发送到相应的SK(通过TS代理)。这个过程确保转发隐私:任何DC泄漏都不会泄漏超过本地计数器的值(计数器会随机出现)。DC在采集期间对计数器进行重新计数,然后在汇总期间将最终计数(真实计数,噪声和共享数的总和)发送给TS。
共享管理器 SK负责存储由DC分配给它的共享数;对于每个计数器,每个SK将从每个DC收到一个共享值。在汇总过程中,对每个计数器,每个SK将它们从DC接收到的共享值求和,并将总和发送给TS。一旦TS收到来自DC的所有计数和来自SK的所有总计共享值,TS将来自每个计数器的所有DC的计数相加,然后通过减去总计的共享值来“去致盲”每个计数器。每个计数器的最终总计数只有在所有SK的所有总和秘密都被移除后才有意义。只要至少有一名SK在秘密数求和中诚实行事,TS就无法学习单独的DC数量,并且除了最终的汇总计数没有任何数据暴露,但最终最终的汇总计数受到差别隐私保护。(所以使用多个SK是为了保证安全)。
2.2 协议规范 考虑使用一个telly服务器T,n个数据收集器Di,和m个共享管理器Sj,j∈来部署PrivCount。此外,假设正在收集l个统计数据;令sk为第k次统计的计算值k∈{1,…,l}。统计值可以是单个整数或表示成直方图的整数向量。单个数是用一个计数器实现的的一个整数,是PrivCount中的基本数据结构。
PrivCount的目标是保护隐私的同时测量所有统计数据,然后只显示所有DC中汇合的差分隐私计数,即计算
∑
i
=
1
n
s
k
i
+
N
k
i
\sum_{i=1}^ns_k^i+N_k^i
∑i=1nski+Nki,其中
+
N
k
Tor(the onion router)是部署最多的匿名通信系统,提供在线匿名和隐私保护,而隐形互联网
I2P(invisible Internet project)允许应用程序通过使用大蒜路由,以匿名和安全方式相互发送消息。
Tor与I2P使用术语与一些关键区别:
Tor匿名网络 I2P匿名网络 基于电路的低延迟覆盖网络 基于分组的高延迟重叠网络 允许匿名访问分别实施和操作外部互联网服务 试图将现有的互联网服务转移到I2P网络,并在框架内提供服务实现 双向电路 单向通道 集中式框架 分布式架构 使用Socket Secure(SOCKS)接口,只能通过TCP传输消息 I2P 是一个中间件,提供应用程序可用于通过网络进行通信的API,可以在UDP和TC之间进行选择 Cell,细胞 Message,消息 Client,客户 Router、Clients,路由器或客户端 Circuit,电路 Tunnel,隧道 Directory,目录 Net DB,网络数据库 directory server,目录服务器 floodfill router,floodfill 路由器 Entry guard,入境卫兵 Fast peer,快速对等体 Ingress node,入口节点 Inproxy,入口代理 exit node,退出节点 Outproxy,出口代理 hidden service,隐藏服务 Eepsite or destination,Eepsite 或目的地 hidden service descriptor,隐藏服务描述符 lease set,租约集 introduction point,介绍点 inbound gateway,入站网关 onion routing,洋葱路由 garlic routing,大蒜路由 Node、Server,节点、服务器 Router,路由器 Onion agent,洋葱代理 I2P Tunnel 客户端 Onion service,洋葱服务 隐藏服务,Eepsite 或目的地 Rendezvous Point,会合点 Inbound Gateway+Outbound Endpoint,入站/出站网关 Router descriptor,路由器描述符 Routerinfo,路由器信息 Tor和I2P开发技术比较:
文章来自IT经理网
原文链接:https://www.ctocio.com/ccnews/16089.html
不久前, 著名黑客Jacob Appelhaum与另外两名安全研究人员在德国媒体上发表了一篇文章, 通过他们得到的NSA的秘密文件以及对源代码的分析, 他们认为, NSA 已经把目标瞄准了匿名网络Tor, 并且可能已经攻破了Tor.
这个发现令人震惊, 在过去的十几年来, Tor一直被认为是能够保护那些记者, 异见人士, 或者黑客的重要匿名工具。 Tor还被电子前线基金(EFF)推荐为保护个人隐私的推荐工具。 然而, 这次的分析表明, 使用Tor的个人可以被NSA甄别出来, 通过Tor传递的所有数据都可以被记录。
对于很多人来说, NSA对Tor的渗透攻击就像是对隐私保护和言论自由等人权的法西斯式的践踏。 Appelhaum作为维基解密的志愿者以及一个Tor的开发者, 认为对Tor来说, 志愿者的行为是一种英雄主义行为, 就好像国际志愿军去西班牙与弗朗哥作战一样。
这听上去很美, 一批国际主义战士与邪恶的美帝国主义在作斗争, 但是, 事实上, Tor社区并不如想象的那么的完美。
来看看基本事实吧。 Tor是由美国军方的情报机构最初开发并且提供财务支持的。 Tor的最初目的和当前的目的是: “帮助政府情报人员和他们的线人隐藏身份, 以便于他们开展情报收集, 并且把情报回传给情报机构。”这些事实那些鼓吹和倡导使用Tor的人士并不会提到。
Tor的图标是一个洋葱, 如果我们剥开洋葱皮, 就会看到, 每个Tor的开发人员都是由五角大楼或者其它美国情报机构资助的。 其中包括了Tor的主要开发人员Roger Dingledine, 他甚至还在NSA干过。 如果你去Tor的网站, 你就会发现, Tor依然被美国政府广泛地使用着。 比如在Tor网站上, 你会看到。
“美国海军的一个机构利用Tor进行开源情报收集, 其中一个小队在最近派遣到中东执行任务时就使用了Tor. 执法机构使用Tor访问或者监控网站, 从而可以在网站日志中留下政府的IP地址。 “
Tor的发展历史
我们可以简单回顾一下Tor的发展历史。 1995年, 美国海军研究实验室的科学家开始开发一种匿名即使, 可以避免人们的行迹在Internet上被追踪到。 他们把这个技术叫做“洋葱路由”。 “洋葱路由”利用P2P网络, 把网络流量随机的通过P2P的节点进行转发, 这样可以掩盖源地址与目标地址的路径。 使得在Internet上难以确定使用者的身份和地址。 这就好像你送一封匿名信, 不是自己送或者通过邮差送, 而是大街上随便找一个不认识的人让他帮你送。 这样收信方就很难往回找到你。
这个技术最初由美国海军研究办公室和国防部高级研究项目署(DARPA)资助。 早期的开发由Paul Syverson, Michael Reed 和David Goldschla领导。 这三个人都是供职美国军方的数学家和计算机系统研究人员。
转载地址:http://www.baike.com/wiki/tor http://www.360doc.com/content/17/0825/11/29291909_681990476.shtml Tor(The Onion Router)是第二代洋葱路由(onion routing)的一种实现,用户通过Tor可以在因特网上进行匿名交流。Tor专门防范流量过滤、嗅探分析,让用户免受其害。 tor的全写是“The Onion Router”,即洋葱路由器,属于自由软件,遵循3-clauseBSD许可证发布。Tor用户在本机运行一个洋葱代理伺服器(onion proxy),这个代理周期性地与其他Tor交流,从而在Tor网路中构成虚拟环路(virtual circuit)。Tor是在7层protocol stack中的application layer进行加密(也就是按照’onion’的模式)而它之所以被称为onion是因为它的结构就跟洋葱相同,你只能看出它的外表而想要看到核心就必须把它层层的剥开。即每个router间的传输都经过symmetric key来加密,形成有层次的结构。它中间所经过的各节点,都好像洋葱的一层皮,把客户端包在里面,算是保护信息来源的一种方式,这样在洋葱路由器之间可以保持通讯安全。 使用:https://blog.csdn.net/yinchangxin/article/details/42082359
点赞 收藏 分享 文章举报 醉糊涂仙 发布了365 篇原创文章 ·
获赞 222 ·
访问量 92万+ 他的留言板 关注
安全研究人员了解到,大多数流传出去的数恶意软件LokiBot原来都是原始版本的修改版本。
2015年以来,LokiBot就通过从多种流行的网络浏览器、FTP、电子邮件客户端,以及PuTTY等IT管理工具中获取凭证,从而窃取用户的密码和加密货币钱包。
最初的LokiBot是由一个网名叫“lokistov”,又名“Carter”的人开发和销售,价格为300美元,但是后来暗网上很多其他黑客也开始销售同样的恶意软件,价格则相对低得多(一般能低至80美元)。
人们认为,LokiBot的源代码已经被泄漏,使得其他人可以将其编译为各种版本。
不过,Twitter上一个名为“d00rt”的研究人员发现,有些人在没有访问LokiBot源代码的情况下就能对其最初版本进行少量修改(补丁),从而让其他黑客可以定义他们自己的自定义域来接收那些窃取来的数据。
黑客正在积极散播“被劫持”版本的LokiBot 研究人员发现,这款恶意软件所在的C&C服务器位置,也就是被窃取的数据本该被发送到的位置,已经被改为被存储到5个不同的位置——其中四个使用3DES算法加密,还有一个使用简单的XOR算法加密。
该恶意软件有一个名为“Decrypt3DESstring”的功能,可以被用来解密所有加密字符串,以及获取C&C服务器的URL。
研究人员分析了新版LokiBot并且与原始版本进行了比较,发现新版本中的Decrypt3DESstring函数已经被修改,使它总是返回受XOR保护的字符串值,而不是返回受3DES保护的字符串值。
“在所有新版的LokiBot中,3DES保护的URL总是相同的。”研究人员说道。
“另外,这些URL从来没被使用过。Decrypt3DESstring会返回一个解密3DES算法的缓冲器。当然这应该是理想状态,但如前所述,实际上每次调用Decrypt3DESstring时,都会返回解密或加密XOR的URL。”
这些更改使得任何拥有新版本LokiBot的人都能用简单的HEX编辑器来编辑程序,并且添加他们自定义的URL来接收被盗的数据。
解密函数还被用于获取令恶意软件在系统上持久化所需要的注册表值,但由于在修改后,解密函数只会返回URL,所以在设备重新启动后,修改后版本的LokiBot是无法重新启动的。
但是,目前尚不清楚为什么初始版本LokiBot的开发者也将同样的C&C服务器URL,存储在用安全性较低的XOR算法加密过的字符串中,即便这是没有任何必要的。
据悉,目前以超低价格被广泛散布的多种LokiBot版本,也被某些黑客以同样的方式做了修改。
同时,LokiBot的原作者已经发布了新的2.0版本,并且正在多个论坛上在线销售。
要了解更多关于新版本LokiBot的细节,可以阅读发布在GitHub上的研究文章:
https://github.com/d00rt/hijacked_lokibot_version/blob/master/doc/LokiBot_hijacked_2018.pdf
1、研究者发现Hackhound及其C2被用于工业间谍活动
2、勒索软件Stampdado被破解,解密工具已免费发布
3、攻击者利用Twitter公司Docker漏洞下载Vine源代码
4、PHP 0day漏洞,允许攻击者以上帝模式访问网站
5、研究者利用洋葱蜜罐发现百余个暗网窥探节点
6、韩国网购网站疑因钓鱼邮件泄漏10万客户数据
(新闻来源:mcafee、bleepingcomputer、softpedia、theregister、securityweek、koreaherald)
今天看到一基友 Mayter/baojin 总结了下入侵学习的视频 我顺便把视频链接也放上来省得想学习入侵的童鞋去找了
现在学入侵了好多了 学习的东西都给出来了 以前我们学习入侵的时候,都是靠自己找 还没有总体的学习思路只要想学习 会利用谷歌搜索,学很多东西 都容易 不仅仅只是在入侵学习方面
1. 你说你不会手工注入,不会常规拿webshell方法,不会winodws提权,
看杨帆的107课教程 + 暗月的系列视频 想不入门想不会都难
2. 你说你不会linux提权 小波的linux系列视频 想不会linux提权都难
3. 你说你不会玩backtrack ,菜鸟腾飞backtrack系列视频明教教主的系列bt视频 想不会backtrack 都难
4,你说你不会sqlmap 羽翼的sqlmap系列视频 你看了吗 ?
5. 你说你不会burp suite 你看了2012年angelc0de原创burpsuite系列 无key 吗?
还有这套2010年的 burp suite系列视频两套
6. xss不会,乌云的xss系列教材看了吗?
7. t00ls论坛 90sec论坛 习科论坛,的所有技术文章都去看可以补充一下其他方面的不足或提升
8. 你说你不会接单,不会脱裤:
入侵网站,锁定目标 识别程序 找oday oday不成功 扫后门 扫备份 无后门 无备份 找后台 找注入 无注入 弱口令 无弱口令 找图片 扫编辑器 无编辑器 扫目录本地文件包含~任意文件下载 xss乱打拿不下 就旁注 旁不下 扫端口 还不行就去社 社不了 就爆破还不行 去C段 ip端口入侵 C段搞不了 子域名下手 还不行字典问题,
该引用来自伟大的维基百科,感谢维基百科。顺便说一句,要想真正提高技术 英文文档必不可少。
Tor (previously an acronym for The Onion Router)[5] is free software for enabling online anonymity and resisting censorship. Tor directs Internet traffic through a free, worldwide, volunteer network consisting of more than five thousand relays[6] to conceal a user’s location or usage from anyone conducting network surveillance or traffic analysis. Using Tor makes it more difficult for Internet activity to be traced back to the user: this includes “visits to Web sites, online posts, instant messages, and other communication forms”.